Gerenciando o acesso de rede ao seu espaço de trabalho - Amazon Managed Grafana
Configurando o controle de acesso à rede

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando o acesso de rede ao seu espaço de trabalho

Você pode controlar como usuários e anfitriões acessam seus espaços de trabalho da Grafana.

A Grafana exige que todos os usuários sejam autenticados e autorizados. No entanto, por padrão, os espaços de trabalho Amazon Managed Grafana estão abertos a todo o tráfego de rede. Você pode configurar o controle de acesso à rede para um espaço de trabalho, para controlar qual tráfego de rede pode acessá-lo.

Você pode controlar o tráfego para seu espaço de trabalho de duas maneiras.

  • Endereços IP (listas de prefixos) — Você pode criar uma lista de prefixos gerenciada com intervalos de IP que têm permissão para acessar espaços de trabalho. O Amazon Managed Grafana suporta somente endereços IPv4 públicos para controle de acesso à rede.

  • VPC endpoints — você pode criar uma lista de VPC endpoints para seus espaços de trabalho que têm permissão para acessar um espaço de trabalho específico.

Ao configurar o controle de acesso à rede, você deve incluir pelo menos uma lista de prefixos ou um VPC endpoint.

O Amazon Managed Grafana usa as listas de prefixos e os VPC endpoints para decidir quais solicitações ao espaço de trabalho do Grafana podem se conectar. O diagrama a seguir mostra essa filtragem.

Uma imagem mostrando o controle de acesso à rede Amazon Managed Grafana permitindo algumas solicitações e bloqueando outras que tentem acessar um espaço de trabalho Amazon Managed Grafana.

A configuração do controle de acesso à rede (1) para um espaço de trabalho Amazon Managed Grafana especifica quais solicitações devem ter permissão para acessar o espaço de trabalho. O controle de acesso à rede pode permitir ou bloquear o tráfego por endereço IP (2) ou pelo ponto final da interface que está sendo usado (3).

A seção a seguir descreve como configurar o controle de acesso à rede.

Configurando o controle de acesso à rede

Você pode adicionar controle de acesso à rede a um espaço de trabalho existente ou configurá-lo como parte da criação inicial do espaço de trabalho.

Pré-requisitos

Para configurar o controle de acesso à rede, você deve primeiro criar uma interface VPC endpoint para seus espaços de trabalho ou pelo menos uma lista de prefixos IP para os endereços IP que você deseja permitir. Você também pode criar ambos ou mais de um dos dois.

  • VPC endpoint — você pode criar uma interface VPC endpoint que dá acesso a todos os seus espaços de trabalho. Depois de criar o endpoint, você precisará do ID do VPC endpoint para cada endpoint que quiser permitir. Os IDs de endpoint VPC têm o formato. vpce-1a2b3c4d

    Para obter informações sobre como criar um VPC endpoint para seus espaços de trabalho da Grafana, consulte. Endpoints da VPC de interface Para criar um VPC endpoint específico para seus espaços de trabalho, use o nome do endpoint. com.amazonaws.region.grafana-workspace

    Para endpoints de VPC aos quais você dá acesso ao seu espaço de trabalho, você pode limitar ainda mais o acesso deles configurando grupos de segurança para os endpoints. Para saber mais, consulte Associar grupos de segurança e Regras de grupos de segurança na documentação da Amazon VPC.

  • Lista de prefixos gerenciada (para intervalos de endereços IP) — para permitir endereços IP, você deve criar uma ou mais listas de prefixos na Amazon VPC com a lista de intervalos de IP a serem permitidos. Há algumas limitações para listas de prefixos quando usadas para Amazon Managed Grafana:

    • Cada lista de prefixos pode conter até 100 intervalos de endereços IP.

    • Os intervalos de endereços IP privados (por exemplo, 10.0.0.0/16 são ignorados). Você pode incluir intervalos de endereços IP privados em uma lista de prefixos, mas o Amazon Managed Grafana os ignora ao filtrar o tráfego para o espaço de trabalho. Para permitir que esses hosts acessem o espaço de trabalho, crie um VPC endpoint para seus espaços de trabalho e conceda acesso a eles.

    • O Amazon Managed Grafana só oferece suporte a endereços IPv4 em listas de prefixos, não IPv6. Os endereços IPv6 são ignorados.

    Você cria listas de prefixos gerenciadas por meio do console da Amazon VPC. Depois de criar as listas de prefixos, você precisa do ID da lista de prefixos para cada lista que deseja permitir no Amazon Managed Grafana. Os IDs da lista de prefixos têm o formatopl-1a2b3c4d.

    Para obter mais informações sobre a criação de listas de prefixos, consulte Blocos CIDR de grupo usando listas de prefixos gerenciadas no Guia do usuário da Amazon Virtual Private Cloud.

  • Você deve ter as permissões necessárias para configurar ou criar um espaço de trabalho Amazon Managed Grafana. Por exemplo, você pode usar a política AWS gerenciada,AWSGrafanaAccountAdministrator.

Depois de ter a lista de IDs para as listas de prefixos ou VPC endpoints que você deseja dar acesso ao seu espaço de trabalho, você estará pronto para criar a configuração de controle de acesso à rede.

nota

Se você ativar o controle de acesso à rede, mas não adicionar uma lista de prefixos à configuração, nenhum acesso ao seu espaço de trabalho será permitido, exceto por meio dos VPC endpoints permitidos.

Da mesma forma, se você ativar o controle de acesso à rede, mas não adicionar um VPC endpoint à configuração, nenhum acesso ao seu espaço de trabalho será permitido, exceto por meio dos endereços IP permitidos.

Você deve incluir pelo menos uma lista de prefixos ou um VPC endpoint na configuração do controle de acesso à rede, ou você não conseguiria acessar seu espaço de trabalho de qualquer lugar.

Para configurar o controle de acesso à rede para um espaço de trabalho

  1. Abra o console Amazon Managed Grafana.

  2. No painel de navegação esquerdo, escolha Todos os espaços de trabalho.

  3. Selecione o nome do espaço de trabalho que você deseja configurar o controle de acesso à rede.

  4. Na guia Controle de acesso à rede, em Controle de acesso à rede, escolha Acesso restrito para configurar o controle de acesso à rede.

    nota

    Você pode acessar essas mesmas opções ao criar um espaço de trabalho.

  5. No menu suspenso, selecione se você está adicionando uma lista de prefixos ou um VPC endpoint.

  6. Selecione o VPC endpoint ou o ID da lista de prefixos que você deseja adicionar (como alternativa, você pode digitar o ID que deseja usar). Você deve escolher pelo menos um.

  7. Para adicionar mais endpoints ou listas, selecione Adicionar novo recurso para cada um que você deseja adicionar.

    nota

    Você pode adicionar até 5 listas de prefixos e 5 VPC endpoints.

  8. Escolha Salvar alterações para concluir a configuração.

Atenção

Se você já tem usuários do seu espaço de trabalho, inclua seus intervalos de IP ou VPC endpoints na configuração, ou eles perderão o acesso com um erro. 403 Forbidden É recomendável testar os pontos de acesso existentes após configurar ou modificar a configuração do controle de acesso à rede.